-
Junior Member
- Вес репутации
- 61
Безопасность: к ПК разрешен доступ анонимного пользователя
Здрасьте! Сегодня после проверки увидел след пункт: "Безопасность: к ПК разрешен доступ анонимного пользователя". Чтобы это значило? и как отключить анонимный доступ?
Спасибо
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Последний раз редактировалось drongo; 23.09.2007 в 13:42.
-
-
Junior Member
- Вес репутации
- 61
Уточнение
Подскажите, а как это сделать: "надёжней будет их всех прописать(друг у друга)". У меня домашняя сеть из 3-х машин с WinXP. Никак не разберусь с настройками доступов и прав (в NT все было проще).
И ещё: какое значение должно быть в оригинале у ключа 'RestrictAnonymous'? А то я УЖЕ отключил анонимный доступ, поторопился. Теперь хочу вернуть все на место.
Спасибо.
-
Сообщение от
AlienMan
И ещё: какое значение должно быть в оригинале у ключа 'RestrictAnonymous'?
Здесь смотрите, например:
Примерный перевод:
0 - Анонимные пользователи не запрещены.
1 - анонимные пользователи не могут видеть списки доменных пользователей и сетевые ресурсы домена. Так же, эти пользователи не могут использовать Windows explorer, оснастку "Локальные пользователи и группы" и другие программы, которые отображают сетевые ресурсы и имена пользователей.
2 - анонимные пользователи не имеют доступа без явного разрешения.
Насколько я понимаю, значение параметра 1 используется для ограничения доступа в смешанных сетях; значение параметра 2 используется в сетях , где нет машин под управлением windows 95-98-ME и машин с Windows NT
По умолчанию данный ключ вообще отсутствует.
Второй ваш вопрос не совсем понятен. Нужно явно прописать права для пользователей на общие ресурсы. При этом, в рабочей группе, скорее всего, будет требоваться ввод имени пользователя и пароля для доступа к общему ресурсу. Может быть, вас простой общий доступ смущает?
Последний раз редактировалось Numb; 09.11.2007 в 10:22.
Причина: Добавлено
-
-
Сообщение от
AlienMan
Подскажите, а как это сделать: "надёжней будет их всех прописать(друг у друга)". У меня домашняя сеть из 3-х машин с WinXP. Никак не разберусь с настройками доступов и прав (в NT все было проще).
Спасибо.
Просто на всех своих компьютерах прописать пользователей. Есть, например, ВАСЯ на одном, то он должен быть заведен в пользователи со своим паролем на всех остальных, ПЕТЯ на другом, то он тоже прописан в пользователях со своим паролем на остальных.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
Numb
Насколько я понимаю, значение параметра 1 используется для ограничения доступа в смешанных сетях; значение параметра 2 используется в сетях , где нет машин под управлением windows 95-98-ME и машин с Windows NT
По умолчанию данный ключ вообще отсутствует.
?
То есть, если все машины в сети находятся под управлением WinXP, то можно использовать значение 2, но каким-то образом прописать машины и/или пользователей друг у друга? Как прописать пользователей более-менее понятно (на каждой машине создать одинаковый список пользователей с одними и теми же паролями). А вот как стандартными средствами Windows ограничить список компьютеров, входящих в рабочую группу (как это делается в домене)?
А за информацию про отключение "простого общего доступа" - спасибо.
-
Очень упрощенно: в домене имеется единая база, содержащая информацию о включенных в домен ресурсах (рабочие станции, принтеры, итд), об учетных записях пользователей, и об общих ресурсах. Управление данной информацией может осуществляться централизованно, т.е., с одной стороны, под одной учетной записью возможен доступ к нескольким рабочим станциям, с другой стороны, можно централизованно изменять права доступа пользователей и список машин и/или сетевых ресурсов, к которым данный пользователь имеет доступ.
В случае работы в рабочей группе, каждая из машин рабочей группы сама себе контроллер домена - вся информация о пользователях, доступных ресурсах и ограничениях хранится локально на каждой конкретной машине. Анонимный доступ и используется для того, чтобы в данном случае, без дополнительных телодвижений, получать доступ к сетевым ресурсам. В случае, если вы закрываете анонимный доступ, схема примерно следующая: мы создаем сетевой ресурс, например, общую папку или принтер. Мы удаляем из разрешений группу "Все" и добавляем в разрешения пользователя или группу пользователей. При попытке доступа по сети к данному сетевому ресурсу, будет выдан запрос на ввод имени пользователя и пароля. Если ввели правильно - получаем доступ, если неправильно - ресурс недоступен. Соответственно, ваша задача - на каждой машине сформировать список пользователей - то, о чем написал PavelA - и задать явные разрешения для общих ресурсов. Это то, что drongo назвал "прописать друг у друга", как я понимаю. Замечу, что это не всегда удобно: например, при такой схеме печать на сетевой принтер становится проблемным делом - я должен сначала открыть окно состояния данного принтера, ввести имя пользователя и пароль, только затем смогу на него печатать.
Что касается значения ключа 2 - да, вы можете его использовать, если у вас в сети только машины под управлением Windows XP.
-
-
Сообщение от
Numb
Соответственно, ваша задача - на каждой машине сформировать список пользователей - то, о чем написал PavelA - и задать явные разрешения для общих ресурсов. Это то, что drongo назвал "прописать друг у друга", как я понимаю. Замечу, что это не всегда удобно: например, при такой схеме печать на сетевой принтер становится проблемным делом - я должен сначала открыть окно состояния данного принтера, ввести имя пользователя и пароль, только затем смогу на него печатать.
Нельзя ли каким-нибудь способом сделать так чтобы пароль запоминался и при загрузки системы восст. подключение принтера, как и других сетевых ресурсов? Когда все под одним пользователем, тогда таких проблем не наблюдается.
У нас во многих местах все работают под одним пользователем и одним паролем. Доменов нет, т.к. поддерживать доменную структуру нет специалистов.
Сейчас готовлюсь вступить в борьбу с этим. Знаний не хватает, значит буду задавать вопросы, иногда глупые.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Побочные эффекты от изменения данного ключа реестра
(актуально в случае сетевой машины)
Код:
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
Устранение неполадок, связанных с событиями 8021 и 8032 в основных обозревателях:
http://support.microsoft.com/kb/135404/ru
...
На контроллерах домена под управлением Windows 2000, на которых параметру RestrictAnonymous присвоено значение 2, служба «Обозреватель компьютеров» не может получать список доменов и список серверов от компьютеров, являющихся резервными обозревателями, основными обозревателями и основными обозревателями домена, если на этих компьютерах параметру RestrictAnonymous также присвоено значение 2. В результате приложения, которые используют сведения, предоставляемые службой «Обозреватель компьютеров», могут работать с ошибками...
Несмотря на упоминание DC, чудеснейшим образом относится и к "равным" компьютерам в одноранговой сети.
-
Сообщение от
drongo
чтобы отключить эту опцию нужно выполнить скрипт в AVZ:
А можно это сделать путём изменения настроек в Windows?
-
Junior Member
- Вес репутации
- 56
Сообщение от
copsmith
А можно это сделать путём изменения настроек в Windows?
Я полагаю, что найти в реестре вот это HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAn onymous' и выставить значение равное 2
-
-
Сообщение от
copsmith
А можно это сделать путём изменения настроек в Windows?
А что по Вашему мнению делает АВЗ, как не изменяет настройки Виндовс ?
-
-
Сам по себе AVZ ничего не делает.
Он выполняет написанные человеком команды, не так ли?
-
Junior Member
- Вес репутации
- 54
Предупреждать надо что после скрипта комп сразу в перезагруз уходит!
-
Junior Member
- Вес репутации
- 54
Отразиться ли отключение доступа анонимного пользователя на моем копьютере на работе программ и в сети интернет?
-
Отразиться ли отключение доступа анонимного пользователя на моем копьютере на работе программ и в сети интернет?
Нет...
-
-
Junior Member
- Вес репутации
- 53
какую опасность вообще это представляет? и смогут ли её использовать из интернета или только из локальной сети? я к тому, а стоит ли вообще трогать
-
Сообщение от
hqcabl
Предупреждать надо что после скрипта комп сразу в перезагруз уходит!
И что сердиться? Вы лечите компьютер! Перезагрузка почти всегда нужна при различных операциях
-
Junior Member
- Вес репутации
- 53
Сообщение от
drongo
да вроде по русски написано - то и значит
можно перефразировать : "Доступ к компьютеру для не зарегистрированных пользователей возможен "
чтобы отключить эту опцию нужно выполнить скрипт в AVZ:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RebootWindows(true);
end.
отлично работает. Однако каким образом отменить данный скрипт в случае необходимости?